ここに挙げたのは、保健福祉省市民権局(OCR)との和解合意に至った最も重要なHIPAA違反事例の概要です。
また、HIPAAデータ侵害の調査中や、患者や医療スタッフから提出された苦情の調査中に、多くのHIPAA違反が確認され、OCRによって追求された事例も掲載しています。
OCRは2018年から執行能力を高め、和解や民事罰金などの金銭的処罰が認められる追加のHIPAA侵害事例を招くに至りました。 2017年の現在まで、違反事例を解決するために発行されたHIPAA罰金は9件となっています。 HIPAA規則の執行のための記録的な12ヶ月間である2016年には、HIPAA違反事件の解決のために12の和解と1つの民事金融処罰が出されました。
執行能力の強化により、OCRはHIPAA規則への違反が可能な限り最も厳しい処罰につながることを示唆しています。
HIPAA 違反の結果
HIPAA 違反の結果は深刻で、PHI の違反が行われていなくても、HHS 市民権局 (OCR) によって HIPAA 違反に対する罰金の制裁を受けることがあることを覚えておくことが重要です。 HIPAA 違反の金銭的影響は、過失の程度、および(違反が起こった場合)違反によって露出する可能性のある記録の量、および不正な開示によって引き起こされる可能性のある危険性によって異なります:
- 無知によって起こった HIPAA 違反は、100 ~ 50,000 ドルの罰金となる場合があります。
- 故意の怠慢の結果として起こった違反で、30日以内に対処された場合、1万ドルから5万ドルの罰金が科されます。
- 故意の怠慢の結果として起こった違反で、30日以内に対処されなかった場合、最高5万ドルの罰金が科されます。 また、PHIの侵害が州法に違反する場合、司法長官は金銭的制裁を科すことができる。また、対象事業者またはビジネス・アソシエイトの過失の結果として個人が損害を受けたことが証明できる場合、個人は補償を求めて民事訴訟を起こすことも可能である。 一部の法的管轄区域では、与えられる懲罰的損害賠償の額は、OCRが課すことができる最大150万ドルの罰金(違反ごと)を超える可能性があります。
Wakefern Food Corporation、HIPAA違反事件でNJ州司法長官と23万5000ドルで和解
ニュージャージー州ミルビルとニューヨーク州キングストンにあるShopRiteスーパーマーケット2店舗の顧客9700人の保護すべき健康情報を含むデータ違反に関連して、連邦および州法違反の申し立てを受けて、Wakefern Food Corporationは民事金銭賠償23万5000ドルを支払うとともにさまざまなセキュリティ強化を実施することに同意しています。
詳しくはこちら
$4820 million In HIPAA Penalties Paid by Anthem to Settles State Attorneys General Data Breach Investigations
Anthem Inc.は、2014年の7880万の記録データ侵害に関する米国の各州における州司法長官による訴訟を解決することに合意した。 4820万ドルの金銭的ペナルティとともに、Anthemはデータセキュリティの実践を改善するために多くの是正措置を実施することを約束した。 これらには、ゼロ・トラスト・アーキテクチャーの原則を用いた徹底した情報セキュリティ・プログラムの構成などのステップが含まれます。 現在、継続的なセキュリティの更新は取締役会で共有され、重要なセキュリティ イベントはできるだけ早く CEO に報告されます。
詳細はこちら
グレイズハーバー・コミュニティ病院ランサムウェア訴訟は18万5000ドルで和解の可能性
調停協議の結果、患者データの暗号化につながった2019年6月のランサムウェア攻撃に関連する集団訴訟の代表原告とグレイズハーバー・コミュニティ病院およびハーバー医療グループ間で和解案への合意がなされました。
詳しくはこちら
HIPAA違反事件、救急車会社&OCRとの間で6万5000ドルで和解
保健福祉省市民権局(OCR)は、West Georgia Ambulance, Inc.と65000ドルのHIPAA違反和解が合意されたことを明らかにした。
詳細はこちら。